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A device (4) f6r analysing a data processing transaaiqn, or part thereof re- 
ceives input signals containing the data supplied by a user requesting the per- 
formance of the transaction and outputs control signals to decision means (3) 
which determine whether or not permission should be granted to the user to pro- 
ceed with the trasaction or to modify the performance of that transaction or of 
subsequent transactions. The device comprises: extracting means (5), for retain- 
ing, from the input data, only those data useful for the analysis of the transac- 
tion; deletion ;means (6), for eliminating the signals corresponding to a transac- 
tion deemed to comply with a set of predetermined rules, so as not to proceed 
with the analysis for transactions of this type^filtering means (7), for eliminating 
non-significant variations of the transaction to be analysed, depending on the 
statistical characteristics of the signals supplied by the deleting means! classify- 
ing means (8) for allocating the signals of the transaction to be analysed output 
from the filtering means (7) to one or more classes of at least one set of classes, 
each set corresponding to a predetermined classification criterion, said classify- 
ing means outputting control signals for the decision means. 
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Dispositif d" analyse d'une transaction inf ormatigue . " 
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La presente invention concerne un dispositif d'analyse d'une 
transaction informatique ou partie de transaction informatique. 

De faf on generate, ce dispositif repoit en entree des signaux comprenant 
des informations delivrees par un utilisateur demandant l'execution de la 
transaction informatique, ainsi que des informations de contexte 
representatives des conditions de deroulement de la transaction. 

En fonction de ces deux types d informations, le dispositif delivre en 
sortie des signaux de commande k des moyens de decision determinant 
s'il y a lieu ou non de modifier le deroulement de cette transaction ou de 
lo transactions suivantes, ou meme d'arreter completement ou partiel- 
lement le processus et le service rendu a l'utilisateur. 



20 



On connait de tels dispositifs d'analyse, qui sont utilises dans diverses 
applications telles que le controle d'acces physique ou logique, ou encore la 
delivrance d'autorisations et de services, de distribution de billets ou de 
services pour des cartes accreditees. 

De fa?on tres schematique, il s'agit, a partir des informations fournies 
par l'utilisateur (donnees personnelles, etc.) et des conditions dans 
lesquelles ces informations sont delivrees (succession d'essais 
2 s infructueux, nombre eleve de transactions sur un intervalle de temps 
reduit, etc.), de determiner si la demande d'execution de la transaction est 
ou non une demande M anormale M — cest a dire revelatrice dune tentative 
de fraude, d'abus ou de malveillance — et, dans l'affirmative, de prendre 
les decisions qui s'imposent de la maniere la plus appropriee, a savoir 
interdire Texecution de la transaction, en modifier le deroulement, 
memoriser Tapparition de cette situation et attendre la prochaine 
demande d'execution de transaction pour intervenir, etc. 
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Le dispositif selon Tinvention s'applique de fapon generale aux 
problemes d'analyse de fraudes ou de tentatives de fraude, par exemple 
lorsque Ton souhaite, a partir d'un nombre d'informations plus ou moins 
correlees avec le phenomene a mettre en evidence, isoler un ensemble 
restreint d'operations, declarations ou evenements afin d'ameliorer la 
detection et la represssion des fraudes. 

La determination du caractere anormal ou non d'une demande 
d'execution de transaction est determinee par une serie de regies 
predeterminees, fondees principalement sur des analyses statistiques. 

Neanmoins, jusqu a present, ces regies etaient definies de fa?on plus ou 
moins empirique, sans fil conducteur, de sorte qu'elles n'aboutissaient 
pas, dans tous les cas, a une optimalisation de la decision prise. 
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En outre, il est necessaire d'utiliser un nombre Sieve de signaux pour 
reaiiser une bonne discrimination des transactions anormales : dans un 
systeme expert de traitement de donnees bancaires delivrant des 
" autorisations de paiement, il est ainsi courant d'utiliser jusqua un 
millier de regies, du fait que le nombre d'ev^nements anormaux 
(correspondant a quelques centaines de tentatives de fraudes par mois) est 
extremement faible par rapport au nombre d'ev^nements normaux 
(plusieurs millions de transactions regulieres). 

De la sorte, le "bruit de fond" informationnel est considerable et rend 
tres difficile la revelation des demandes de transaction effectivement 
anormales, si ce nest en prevoyant une marge de sScurite telle que Ton 
sera amene a refuser une proportion significative de transactions 
regulieres, mais realises dans des conditions atypiques. 
^ En outre, Tanalyse statistique oblige a m^moriser un volume 

d'informations considerable : par exemple, dans le cas des cartes 
accreditees, on stocke la totalite des transactions effectuees sur une 
periode superieure a une semaine par la totalite des porteurs de cartes, 
qui sont couramment de plusieurs millions. 



10 



20 



25 



30 



35 



L'un des buts de la presente invention est de pallier ces inconvenients et 
de depasser ces limitations, en proposant un dispositif d'analyse 
presentant les avantages suivants : 



— diminution du nombre de regies, typiquement dans un rapport de 
cinq a dix par rapport aux systemes classiques, et ceci sans perte 
sur le resultat, c'est a dire sans perte sur la "quality" ou 
"pertinence"- de la decision prise, 

— pour chacune des regies, possibility de simplifier la regie, toujours 
sahs perte sur le resultat, ce qui permet de diminuer aussi bien le 
volume d'informations que le temps de transmission et de 
traitement, 

— optimalisation des regies entre elles, permettant d'aboutir 
directement aux resultats optimaux theoriques, ce qui reduit au 
minimum theorique le "taxix de fausses alarmes" et le "taux de non- 
detection" , 

— volume d 'information a stocker tres inferieur, dans la mesure ou 
Ton ne traitera et conservera que la partie significative de 
Tinformation, evitant done le recours a un stockage de masse de 

^ donnees brutes, 

— auto-adaptativite du systeme en fonction de revolution des donnees 
statistiques, 

— tres grande vitesse d'obtention des signaux de commande des 
moyens de decision, en raison de la limitation du volume 

^ dmformations, comme explique plus haut, cette vitesse etant encore 

accrue dans les modes de mise en oeuvre particuliers utilisant des 
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circuits convoluteurs, que Ton decrira plus en detail dans la suite de 
la description. 

5 A cet effet, le dispositif d' analyse de la presents invention est caracterise 

par : 

— des moyens extracteurs, pour ne conserver, parmi les informations 
repues en entree, que celles utiles a 1'analyse de la transaction, 

IQ — des moyens suppresseurs, pour eliminer les signaux correspondant 

k une transaction consideree comme conforme k un ensemble de 
regies predetermines, de maniere a ne pas poursuivre 1'analyse 
pour les transactions de ce type, 
~— des moyens de filtrage, pour eliminer, en fonction des 
25 { caracteristiques statistiques des signaux delivres par les moyens 
suppresseurs, les variations non significatives de la transaction a 
analyser,^} 

— des moyens de classement, pour repartir les signaux de la 
transaction a analyser en sortie des moyens de filtrage dans une ou 

2Q plusieurs classes d'au moins un ensemble de classes, chaque 

ensemble correspondant a un critere predetermine de classification, 
ces moyens de classement delivrant en sortie les signaux de 
commande des moyens de decision. 



r- 



25 Selon Tin certain nombre de caracteristiques avantageuses : 

— le dispositif comprend des moyens d'archivage assurant la 
memorisation des signaux correspondant a des transactions 
anterieures ; 

30 \y — *tes moyens de filtrage sont des moyens a effet variable, commandes 
par des moyens de calcul et de reglage fonctionnant en reponse au 
contenu des moyens d'archivage ; 
£z — les moyens de classement sont des moyens k effet variable, 
commandos par des moyens de calcul et de r6glage fonctionnant en 
35 reponse au contenu des moyens d'archivage ; 

^ — les informations transmises aux moyens extracteurs comprennent 
des signaux representatifs de 1'ecart entre les conditions effectives 
de deroulement de la transaction et les conditions considerees 
comme normales du deroulement de cette transaction ; QjJ^li^i^ 
4Q J — le signal representatif dudit ecart est un signal de distance 
quantifiant Tecart plus ou moins grand entre les conditions 
effectives de deroulement de la transaction et les conditions 
considerees comme normales du deroulement de cette transaction ; 

— il est prevu une pluralite de moyens de classement disposes en 
45 \J parallele, recevant en entree les memes signaux et delivrant chacun 

en sortie des signaux specifiques a d es moyens combinato ires 
frtrmsint inrp<rfarp pvpc Ips movens de decision • 
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— le dispositif etant installe au moins partiellement dans un 
equipement dun systeme distribu6 f un Equipement du systeme 
re?oit des signaux en provenance des dispositifs d'analyse 
d'Equipements voisins, ces signaux, qui comportent au moins un 
signal d'alarme, constituant des signaux d'entr£e du dispositif 
d'analyse de cet equipement. 

A cet egard, on peut noter que le fractionnement du dispositif entre 
plusieurs points du systfeme permet, notamment, de decentraliser 
les decisions et done de diminuer les couts, les files d'attente, etc. 

— dans ce dernier cas, le signal transmis a chaque equipement voisin 
est transmis avec application d'une fonction du temps comportant 
un retard, cette fonction dependant de l'Eloignement de cet 
.Equipement par rapport k l'equipement ayant Emis le signal 

^ correspondant. les signaux de commande delivres comprennent au 

moins un signal d'alarme transmis aux 6quipements voisins du 
systeme distribue, ce signal d'alarme transmis constituant un 
signal d'entree pour les dispositifs d'analyse de ces equipements 
voisins. 

20 

Le dispositif de la presente invention est susceptible de nombreuses 
applications, parmi lesquelles les plus avantageuses sont, de fa?on non 
limitative : 

controle d' acces physique (locaux proteges, zones securisEes, etc), 
-fc/le controls, faeces logique : acces aux bases de donnees, 
^^4/^4JVH£l^ ^^m^^^ri^f^se^-yi d'information, etc, 

Nz^iririM^ v-Z les transactions bancaires en general, notamment celles effectuees 
par les distributeurs automatiques de billets et guichets 
^ ,automatiques bancaires, 

4/ la v delivrance d'autorisations de paiement aux utilisateurs de cartes 
accreditives, 

— les modules securises : il s'agit d'une variante particuliere du 
controle d'acces logique applique aux "boites noires" de chifFrement 

^ et dechiffrement, dans lesquelles un dispositif interne au module 

analyse les signaux d'entree a chiffrer ou dechiffrer afin de detecter 
k si la maniere dont ces signaux sont appliques correspond & une 
*Q.(A[\ utilisation normale du module securise ou non, par exemple 
^/KA^(^ lorsqu'un utilisateur non habilite tente de decouvrir la clef de 

40 U chiffrement en envoyant des series particulieres successives de 
signaux ; le dispositif de l'invention analysera ces signaux 
(messages incoherents, inattendus, frequences anormales, d61ais de 
reponse non conformes, etc.) pour detecter une fraude eventuelle et 
auto-neutraliser le module securise en cas de fraude averee. 

45 
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On va maitenant d6crire en detail le dispositif de 1'invention en 
reference aux figures annexees, puis en donner un exemple d' application 
pratique dans la description detaill^e qui va suivre. 

Sur les figures : 

— la figure 1 est un schema fonctionnel illustrant U^c^^te^^ 
^ - y _ . , ~ d'utilisation du dispositif de 1'invention, v . 

— la figure 2 montre 1'ensemble des differents blocs fonctionnels r^^f^ 

— la figure 3 illustre les moyens de filtrage, 

— la figure 4 illustre les moyens de classement, et 

juJl^dil^ — la figure 5 illustre les moyens de mise en forme assurant 
^ 1 interfafage avec les moyens de decision, 

15 — les figures 6 et 7 illustrent l'application du dispositif de Tinvention a 

la propagation d'alarme dans un systeme distribue. 

La figure 1 represente, de fafon schematique, un systeme informT^oque 1 
1 comprenant des moyens 2 d'acquisition de donnees relatives a 
20 / 1'execution d'une transaction, et des moyens de decision 3 determinant, 
/ en fonction des donnees acquises par les moyens 2, s 'il y a lieu ou non de 
Y delivrer une autorisation permettant de poursuivre la transaction, de 
modifier le deroulement de cette transaction, ou de modifier le 
deroulement de transactions ulterieures. 
25 Le dispositif 4 d 1 analyse selon 1'invention re?oit en entree les signaux 

r*t / v ~ ^ D ^£ delivrSs par les moyens d'acquisition 2 et delivre des signaux de 
f™%\omm*nde aux moyens de decision 3. 

Les moyens d'acquisition sont de type classique et ne seront pas decrits 
/en detail ; ils peuvent comprendre des'cap^e^^, convertisseurs, modems, 
Af4it [v^^ ^ll^ ectev £ s ^ e su PP ort d'information (cartes magnetiques ou a microcircuit 
(/ u^vr^fr - exemuleV claviers de saisie de donnees. etc. 




par exemple), claviers de saisie de donnees, etc. 
^piSMk 1J § Les moyens de decision 3 servent a exploiter les resultats qui leur sont 

AvUvvA, % fournis par le dispositif d' analyse 4 de linvention, cette decision pouvant 
etre prise de fa?on automatique ou humaine (il s'agit alors d'un systeme 
35 particulier d'aide k la decision) ou encore mixte, c'est a dire automatique 
mais permettant l'intervention occasionnelle d'un operateur. 

Configuration generate du dispositif d' analyse 



40 La figure 2 represente plus en detail la stucture du dispositif d f analyse 4 

n . ^ ^ \"\ de 1'invention qui comprend, d'amont en aval, des moyens extracteurs 5, 

^* 1 des moyens suppresseurs 6, des moyens de filtrage 7, des moyens de 

classement 8 et des moyens de mise en forme 9. 
Le role des moyens extracteurs 5 est de collecter et mettre en forme tous 
45 les signaux. -discriminants dont on peut disposer dans le systeme 
d'information 1 (on appelera "signal discriminant" tout signal parcipant 
a la prise de decision finale, quelle que soit la part plus ou moins grande 
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pour laquelle il intervient dans cette decision). 

L/un des avantages de la presente invention est de pouvoir utiliser de 
fa?on exhaustive tous les signaux discriminants, meme ceux qui ne le 
sont que faiblement alors que, dans les realisations anterieures on ne 
conservait g^neralement que les signaux fortement discriminants afin 
d'en limiter le nombre. 

Les signaux discriminants peuvent etre de natures tres diverses : 



— on peut utiliser, de fagon classique, une information du type "tout ou 
rien", c'est a dire definissant si une relation est verifiee ou non, si 
un seuil fix6 est atteint ou non, s'il y a identity ou non entre une 
information delivree et sa valeur de consigne, etc* ; 
!5 — on p eu t egalement, et de fa?on particulierement avantageuse, 

utiliser au lieu d'une telle information binaire un signal mesurant 
lecart entre la situation reelle et une situation "normale", ou lecart 
entre l'information et sa valeur de consigne, etc. La theorie de 
l'infonnation de Shannon ainsi que les systemes de codes d£tecteurs 
^ ,ou correcteurs d'erreurs de Hamming donnent de nombreux 

v /exemples de telles mesures de "distance" entre informations, et Ton 
^ ne decrira pas plus en detail la maniere d'obtenir de telles valeurs, 
technique en elle-meme connue (difference mathematique, nombre 
de bits faux, distance de Hamming, nombre de caracteres faux, 
25 coefficient de correlation, etc.), le choix de la maniere de calculer 

cette distance dependant en fait de 1' application pratique et du type 
de signal envisage ; 

p.tod — il peut egalement s'agir du nombre d'acces k des ressources (bases 
de donnees, fourniture de produits ou de services, nombre 
3° d'utilisations dune machine ou d'un logiciel ou partie de logiciel), 

des mouvements et deplacements d'appareils ou de personnes, du 
temps d'attente, ou des anomalies dans Texecution d'une 
commande ou d'une operation, du temps d'execution d'un 
traitement, d'une transmission ou d'un calcul, du temps de 
35 reaction par un operateur humain a un signal ou un affichage, etc ; 

— il est egalement possible d utiliser, outre les grandeurs pr^citees, 
leur proprietes statistiques (moyenne, variance, coefficient de 

sj. correlation, etc.) ; 

— souvent, il est egalement utile de connaitre les valeurs 
^ correspondant aux grandeurs precitees pendant les periodes 

successives qui separent deux transactions anormales averees, 
; i - > notamment pendant la periode ecoulee depuis la derniere 

^Cj\X .JUAW W^ v ^j transaction anormale detects. 

45 " Ces moyensextracteurs 5 delivrent ainsi des signaux a des moyens 
suppresseurs 6 destines a definir, dans le flux des informations en sortie 
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des moyens extracteurs, celles — et seulement celles — que Ton considere 
comme "suspectes", et qu'il s'agira ensuite de filtrer et d'analyser. 

A cet efFet, les moyens suppresseurs 6 re?oivent en entree, outre les 
signaux bruts d61ivr6s par les moyens extracteurs 5, des regies 
predetermines (mais eventuellement modifiables) indiquant le critere 
permettant de consid&rer qu'un signal en entree est "suspect" et quil 
devra done etre transmis pour analyse ult^rieure aux autres circuits du 
dispositif. 

Le corps de regies contenu dans le circuit 22 peut comprendre des 
franchissements de seuils, des apparitions d'un phenomene donn6, 
1'utilisation non pr6vue de commandes a la disposition de l'utilisateur, le 
d^roulement anormal d'un processus, etc. 

On obtient ainsi, en sortie de ces moyens suppresseurs 6, des signaux 
Si, en nombre beaucoup plus rgduit que les signaux bruts qui avaient ete 
appliques en entree car Ton a elimine, grace a ces moyens, toutes les 
informations qui, par leur nature, correspondent a des signaux que Ton 
ne cherche pas a classer (qui ne peuvent etre fraudes, par exemple). 

Ces moyens suppresseurs 6 alimentent egalement en sortie un fichier 
d'archives 10 qui conserve en memoire les signaux correspondants aux 
evenements consideres comme "suspects" — et ces seuls signaux — , a la 
difference des systemes classiques qui ne memorisaient que les signaux 
bruts, done tous les signaux, d'ou une limitation rapide du fait du nombre 
considerable de ceux-ci. 

On designera par la suite Si(n) les signaux delivres par les moyens 
suppresseurs, n designant la variable utilisee, qui peut etre notamment : 

— le temps (surtout utilise a Tinterieur d'ime operation ou transaction 
informatique donnee), 

— le numero d etape a Tinterieur de la transaction, 

— k numero chronologique de l'operation ou de la transaction, 

— le numero chronologique de Tevenement, 

— le numero chronologique des operations ou traitement qui nont pas 
ite menes jusqu'& terme, 

— ou encore une grandeur liee a une ou plusieurs des grandeurs 
precedentes. 

A la variable n, on associera une distribution en frequence f, pouvant 
etre egalement decrite en.termes de pulsation o . 

Ces signaux Si(n) sont delivres a des moyens de filtrage ayant pour 
fonction d ,M ameliorer le contraste" des signaux Si, e'est a dire d'eliminer, 
en fonction des caracteristiques statistiques des signaux Si(n), les 
variations non significatives de la transaction a analyser ; neanmoins — 
et de fa?on caracteristique de la presente invention — cette elimination se 
fait sans aucune perte sur la quality du resultat final : en d f autres termes, 
bien que Ton ^limine un certain nombre de signaux, la decision qui sera 
prise en fin de chaine restera optimale, sans aucune augmentation de 



. .WO 89/06398 




V PCT/FR88/00643 



l'incertitude correspondante. 

Ces moyens de filtrage 7, qui seront decrits plus en detail ci-dessous en 
reference a la figure 3, d<§livrent en sortie des signaux Vk(n) a partir des 

5 signaux Si(n) delivres par les moyens suppresseurs et, eventuellement, de 
signaux Si anterieurs memorises dans le fichier d' archives 10 ; en outre, 
les parametres du filtrage de ces moyens de filtrage 7 peuvent etre 
modifies, eventuellement en temps r6el, par des moyens de commande 11 
permettant d'obtenir un reglage toujours optimal des filtres, notamment 

10 en fonction des informations archives dans le fichier 10 : le systeme est 
ainsi rendu auto-adaptatif. 
__^> Les signaux Vk(n) sont ensuite appliques a des moyens de classement 8 
qui vont operer l'analyse proprement dite en fournissant en sortie des 
signaux Pu representant la probability de l'appartenance de l'ev^nement 

15 que Ton etudie a chacune de plusieurs classes Au d'evenements, chaque 
classe correspondant a un "scenario" u predetermine que Ton souhaite 
detecter. 

En d'autres termes, Pu indique, en termes de probability, le caractere 
plus ou moms suspect d'un comportement de l'utilisateur, ce caractere 

20 plus ou moins suspect etant typiquement revelateur d'une fraude, d'un 
abus ou d'une malveillance que Ton souhaite reperer afin de faire prendre 
au systeme d'information les decisions qui s'imposent. 0>V ni.C£,4-a<^-j ^ 
Ces moyens de classement 8, qui seront 6galement decrits plus en detail 
par la suite en reference a la figure 4, sont de preference, comme les 

25 moyens de filtrage 7, relies a un organe de commande 20 permettant 
d'effectuer un reglage optimal de filtres utilises, notamment en fonction 
des informations archivees dans le fichier 10, et rendant le systeme auto- 
adaptatif. 

Les signaux Pu peuvent etre utilises tels quels pour la prise de decision, 
30 et done appliques directement aux moyens de decision 3, ou bien ils 
peuvent etre prealablement traites par des moyens de mise en forme 9, 
delivrant des signaux traites P'u aux moyens de decision 3. 

Ces moyens de mise en forme 9, qui seront egalement demts plus detail 
par la suite en reference a la figure 5, peuvent par exemple transformer la 
35 variable continue Pu en une variable binaire "tout ou rien" au moyen de 
circuits a seuil. 

De meme que les moyens de filtrage 7 et les moyens de classement 8, les 
moyens de mise en forme 9 sont avantageusement commandes par des 
moyens 21 assurant une adaptation permanente des fonctions, 
40 eventuellement en temps r£el, notamment en fonction des informations 
archivees dans le fichier 10. 

Moyens de filtrage 

45 Les moyens de filtrage 7 ontete representes plus en detail figure 3. 

Ces moyens de filtrage recoivent en entree les signaux Si(n) delivres par 
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les moyens suppresseurs 6 et delivrent en sortie les signaux Vk(n) aux 
moyens de classement 8 ; les signaux Vk(n) sont en nombre inferieur ou 
egal aux signaux Si(n). 

5 

Si le spectre S*(©) (dans le domaine des frequences) du signal Si(n) 
(dans le domaine temporel) nest pas suffisamment plat, il peut etre utile 
de corriger ce spectre, pour chacune des voies Si(n), par un filtre de voie 
correcteur 12. II en est de meme pour les sorties Vk(n) (filtres de voie 13). 

IQ Entre les entrees Si(n), 6ventuellement corrig^es par les filtres 12, et les 

sorties Vk(n) t eventuellement corrigees de la meme fa?on par les filtres 
13, on dispose, selon 1'invention, une matrice de filtrage formee d'un 
reseau de filtres Fik, cette matrice itant de preference une matrice de 
filtrage de type lin^aire, telle qu'une matrice de filtrage de Wiener, de 

25 filtrage de Wiener discret ou de filtrage de Kalman. 

(Pour la simplicity de Texpose qui va suivre, on considerera par la suite 
des variables continues. S'il s'agit, comme c'est souvent le cas en 
pratique, de signaux discrets ou echantillonnes, on utilisera les relations 
equivalentes obtenues par exemple a partir de la transformation en Z 

20 bilaterale.) 

Le type de filtrage mentionne plus haut a notamment pour propriete de 
tenir compte au mieux des caracteristiques statistiques des signaux Si(n) 
(notamment 1'auto-correlation sur chaque voie Si et les intercorrelations 
entre voies Si et Sj), afin d'eliminer au mieux toutes les variations des 
25 signaux Si(n) qui ne sont pas significatives d'une anomalie recherchee. 

On va decrire, a titre d'exemple, les moyens de filtrage realises sous 
forme d'une matrice de filtrage de Wiener. 

II existe en principe un filtre Fik, reference 14, pour chaque couple 
3Q (Si,Vk). Chaque ligne de filtre re?oit un meme signal Si(n) tandis que, en 
sortie, des filtres, les signaux delivres sont additionnes sur chaque colonne 
pour former une voie Vk respective. 
— A titre d'exemple particulier de realisation, on peut notamment 
determiner chaque filtre Fik par la relation suivante : 

35 

Fik(co) = Mik/A(co) (1) 



ou Mik et A sont determines comme on va lindiquer. 

Si Ton considere les signaux Si(n) pendant une ou plusieurs periodes ou 
l f on est presque sur (par exemple, par un examen a posteriori, ou en 
efFectuant une simulation), qu'il n y a pas eu d*evenement qui puissent 
etre considere comme anormal ou suspect, ces signaux Si(n) representent 
done, de fafon valable, des echantillons significatifs reprdsentatifs de la 
categorie des eyenements non suspects, correspondant typiquement a un 
usage normal du systeme d'information. 

Si Ton designe Cik(t) le coefficient de correlation entre les suites Si(n) et 
Sk(n), i etant le "retard", e'est a dire la difference (ni-nk), les coefficients 
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de correlation Cik(x) peuvent etre mis sous la forme d'une matrice M(t), 
d'ordre r. 

Le determinant a(t) de cette matrice a, dans l'espace des frequences, 
Q x< 5 . une transformee a(co) qui forme le numeratexir de l'expression (1) ci- 
dessus. 

Si maintenant on supprime dans la matrice M(t) les elements contenus 
dans la ligne i et dans la colonne k, on obtient une nouvelle matrice Mik 
" /(en principe d'ordre r-1) qui est une fonction de x, et dorit la transformee 
10 \J dans l'espace des frequences est Mik(a>), qui constitue le denominateur de 
la relation (1) ci-dessus. 
On notera que Ton peut supprimer dans cette matrice de filtrage les 
/filtres dont les gains relatifs sont faibles ou negligeables, ce qui contribue 
a en simplifier la realisation. 
15 Si, par ailleurs, tous les filtres Fi correspondant a un signal Si sont nuls 

ou negligeables, on peut en deduire que le signal Si n'est pas discriminant 
l^S pour determiner si 1'evenement doit etre consider comme normal ou 
suspect et pour le classer. 
D'autre part, un filtre Fik peut entrainer un retard du signal de sortie 
20 Vk par rapport au signal d' entree Si et il pourra arriver que ce retard 
^ / soit important, et meme prohibitif compte tenu de 1'urgence qu'il peut y 
^ avoir a prendre une decision dans une situation donnee. Pour pallier cet 
inconvenient, on pourra soit supprimer le filtre Fik, soit limiter son 
retard, c'est a dire choisir un filtre sous-optimal. 
25 Jusqu'a present, on a suppose que les filtres Fik(co) etaient independants 

r . de n (par exemple, du temps) ; dans ce cas, les calculs des filtres sont faits 
tsyuji, vM?/-^ une fois pour toutes. 

j () ^ P eut dependant arriver que le calcul des filtres, par exemple a partir 

\ ^ - de la relation (1) ci-dessus, donne des resultats variables en fonction de n, 

30 c'est a dire en fonction de l'historique des evenements anterieurs 
memorises dans le fichier 10 ; dans ce cas, on calculera les filtres 
optimaux non plus une fois pour toutes mais periodiquement, 
eventuellement a chaque fois et en temps reel, c'est a dire pour chaque 
nouveau vecteur de signaux Si(n), le reglage des filtres etant modifie en 
35 consequence k chaque sequence d'analyse. 

L'organe de commande reference 11 sur la figure 2 permet d' assurer ce 
reglage variable et continu (ou discontinu) des filtres, par exemple en 
recalculant l'expression (1) et en modifiant en consequence le reglage des 
filtres Fik ou d'une partie de ceux-ci (en effet, il se peut que seuls certains 
40 des filtres Fik soient affectes par Thistorique des evenements). 
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Moyens de classement 

On a represents plus en detail sur la figure 4 les moyens de classement 
5 8, qui reyoivent en entree les signaux Vk(n) delivres par les moyens de 
filtrage 7 de la maniere que Ton vient d'exposer et qui d61ivrent en sortie, 
^aux moyens de mise en forme 9, des signaux Pu(n) dont l'amplitude est 
representative de la probability attachee k chacune des sous-classes 
particulieres d'ev&iements parmi les evenements averts anormaux. 
10 Ces difFerentes sous-classes correspondent, com me on l'a expliquS plus 
\J haut, a differents "scenarios" que Ton sait isoler, par exemple par 

analyse statistique, ou simuler. 
_ A chaque scenario Au on fera correspondre un ensemble de decisions Du 

D |l v ^ permettant de tirer au mieux parti de la situation, ou d'en limiter au 
' 15 maximum les risques. (Iv^-v 

f nlUjJU^i ^ e nom b« de colonnes u est quelcahque (il depend en fait du type de 
transaction a analyser, de la finesse d analyse souhaitee et de la variete 
des signaux discriminants disponibles) ; il existe au moins une colonne u. 
Les moyens de classement 8 sont constitues d'une matrice de filtres 
20 adaptes FAku, references 15, alimentes de la meme maniere que dans le 
/ cas des moyens de filtrage decrits ci-dessus, c'est a dire que tous les filtres 
y^l ,T \s FAku d'une meme ligne refoivent le meme signal Vk(n), et que les sorties 
■ * ' de tous les filtres FAku d'une meme colonne sont sommees pour fournir le 

signal Pu respectif apres detection par un circuit 16 delivrant une valeur 
25 arithmetique k partir de la valeur algebrique du signal somme en sortie 
des filtres, le circuit 16 etant par exemple un circuit de detection 
quadratique. 

On notera que les circuits 16 sont optionnels, et peuvent etre limites a 
une simple mise en forme des signaux (sans detection quadratique). 

30 Une detection quadratique pourra etre prevue dans Tun des blocs tels 

que 3,18 oul9 decrits plus bas. 

Le calcul et le reglage des filtres FAku s'obtient en simulant ou en 
reproduisant (par exemple a partir de l'historique conserve dans le fichier 
10) chacun des scenarios u. 

35 On obtient ainsi en sortie des moyens de filtrage 7 un signal respectif 

Vku(n), consequence des scenarios d'evenements u dans la voie Vk ; de 
preference, on repete plusieurs fois ce meme scenario u, et Ton conserve 
pour Vku le signal moyen des differents signaux obtenus a chaque 
repetition. 

40 A chaque signal Vku(n) on associe un filtre adapte FAku, determine par 

la relation generale 

j to 

FA(ari = K.e-^V*(a>) (2) 
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K etant une constant e, to etant egalement une constante (retard), V(o>) 
etant la transformee de Fourier de V(n) et V*(cd) etant la conjuguee de 
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V(«). 

Comme dans le cas des moyens de filtrage, il est possible, pour les 
moyens de classement : 

5 

— de supprimer les filtres FA dont les gains relatifs sont n^gligeables, 

— si tous les filtres d'une meme ligne sont mils ou nSgligeables, on 
peut en d<§duire que le signal Vk(n) n'est pas significatif pour 
discriminer les differents scenarios Au ; on peut alors supprimer les 

^ filtres correspondants. 

— si tous les filtres d'une colonne sont nuls ou nggligeables, on peut en 
deduire que les signaux Si ne sont pas discriminants pour la sous- 
classe d' tenements u. 

— si un filtre FAku entraine un retard important ou prohibitif du 
15 signal de sortie Pu par rapport au signal d'entree Vk et que Ton 

souhaite pouvoir prendre rapidement une decision dans une 
situation donnee, on pourra soit supprimer ce filtre soit, de 
preference, limiter son retard, c'est a dire choisir un filtre sous- 
optimal. 

20 — les filtres FAku peuvent etre des filtres variables dans le temps, leur 

reglage etant adaptes en permanence par les moyens de commande 
20 pour que leurs caracteristiques correspondent toujours k 
l'optimum calcule. 

25 On a jusqu a present suppose que les differents scenarios Au etaient 

connus a l'avance, et qu'il existait done autant de signaux Pu que de sous- 
classes Au differentes, c est a dire de scenarios differents. 

On peut verifier a posteriori que la partition en sous-classes Au est 
significative, en verifiant que les deux colonnes de filtres adaptes FAku 
corres*pondant k deux scenarios differents sont significativement 
differentes ; dans le cas contraire, il est possible de supprimer Tune des 
deux colonnes de filtres, puisque ces deux colonnes sont plus ou moins 
redondantes. 

Si Ton ne connait pas k 1'avance les differents scenarios Au, ou si Ton 
connait mal ceux-ci, on peut utiliser de fa?on empirique (tout au moins en 
1'absence dun fichier historique des evenements suffisamment riche 
pour determiner avec precision la partition entre les differents scenarios), 
au moins deux batteries de filtres, dont Tune est a large bande, c'est a dire 
a reaction rapide, et l'autre a bande etroite, cest a dire reaction lente. 
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Moyens de mise en forme 



On va maintenant decrire plus en detail les moyens de mise en forme 9, 
en reference a la figure 5. 
40 Dans certains cas, la simple presentation des informations Pu peut 

suffire a la prise de decision, de sorte que les moyens de mise en forme 9 
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sont simplement reduits a un affichage de ces differents signaux Pu. 

N^anmoins, dans la plupart des cas ces signaux ne sont pas 
directement utilisables, en particulier lorsque les decisions & prendre 
5 dans une situation donate ne dependent pas directement des grandeurs 
Pu, mais de combinaisons logiques, algebriques ou heuristiques des 
grandeurs Pu et de leurs variations en fonction de n (typiquement, en 
fonction du temps). 

A chaque ca ^S°p§/f d'evgnements, et done £ chaque signal Pu on 
10 pourra souventf aS&tS^es coeffidents^M^raleur^ 

Par exemple, pour un systeme de cartes accreditees on posera : 

Classe 1 (signal Pi) : cartes volees, 
Classe 2 (signal P2) : cartes falsifiees, 
15 Classe 3 (signal P3) : utilisations abusives (defaut de provision), 

etc. 

On sait par experience combien une carte volee coute, en moyenne, a 
lemetteur, au porteur, etc. De meme pour les cartes falsifiees, etc. 

2Q Lorgane de calcul 18, en faisant une addition ponderee des signaxix Pi, 

P2, P3, ... donnera directement les risques financiers (esperance 
mathematique du dommage potentiel) pour chaque transaction analysee 
et pour chaque partenaire. 
Les evenements pourront etre classes par risque decroissant selon 

25 plusieurs criteres (par exemple par emetteur, par porteur, etc.). On 
retiendra les transactions correspondant aux risques les plus elev6s. 

Le nombre d'61ements a retenir pourra etre fixi de plusieurs manieres ; 
un critere pourra etre de maintenir le taux de fausse-alarme (ou le taux 
de non-detection) au-dessous d'une valeur maximale, ou bien de fixer une 

3q regie combinant les deux taux. Dans d'autres cas, on pourra chercher a 
plafdnner le nombre de cas selectionnes en vue d'analyses plus 
approfondies, et s'il y a lieu pour traitements manuels complementaires 
(enquete t^lephonique par exemple). 

35 Les differents calculs sont effectues par un organe de calcul 18 d&ivrant 

en sortie des signaux directement utilisables par les moyens de decision 3. 

Par ailleurs, il peut etre tres souvent utile de transformer les signaux 
continus Pu en signaux binaires Pu, e'est a dire d'obtenir une information 
non plus en termes de probabilite, mais une information "tout ou rien" 
40 sur Texistence ou non d'un scenario Au. 

Dans ce dernier cas, la transformation est effectuee par des 
comparateurs 19 recevant chacun en entree un signal Pu et le comparant 
a un seuil Lu respectif de maniere a fournir le resultat binaire P'u (on 
notera que lorgane 19 est optionnel). 
45 s Les seuils Lu peuvent etre fixes et regies une fois pour toutes. 

Cependant, lorsque, a partir des informations du fichier historique 10, 
on s'aperfoit de variations notables en fonction de n (typiquement, en 
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fonction du temps), on peut etre amenS h faire varier les seuils Lu en 
fonction des informations de ce fichier ; ce r^glage continu des seuils est 
realist par un circuit 21 (figure 2), similaire dans son fonctionnement aux 
circuits de commande 11 et 20 agissant respectivement sur les moyens de 
filtrage 7 et les moyens de classement 8. 

Comme pour ces derniers, le circuit 21 rend le dispositif d analyse de 
Tinvention auto-adaptatif en fonction de Involution dans le temps des 
donn£es. 

Cet ajustement permanent des seuils Lu peut aussi permettre de regler 
les moyens de mise en forme de maniere a maintenir & une valeur de 
reference des critferes fix6s & Tavance, par exemple de maniere a 
maintenir constant le taux moyen d'6venements anormaux, ou le taux 
moyen de decisions negatives prises par les moyens de decision 3. 

Variantes de mise en oeuvre 

La configuration decrite ci-dessus peut etre perfectionnee de diverses 
manieres en fonction de la nature et de la complexity des transactions a 
analyser. 

On peut par exemple utiliser plusieurs dispositifs d'analyse 4, 4',... 
(figure 1) en parallele, correspondant chacun a des criteres d'anormalite 
significativement differents, ou bien pour des raisons de separation des 
fonctions, facility de realisation, fiabilite, etc., bien que, theoriquement, un 
systeme utilisant plusieurs dispositifs d'analyse en parallele soit 
equivalent a un systfeme d'analyse unique avec des matrices de filtrage de 
plus grande dimension. 

Par ailleurs, dans le cas de plusieurs dispositifs en parallele, certains 
organes peuvent etre communs, c est a dire que Ton ne met en parallele 
que (par exemple) les moyens de filtrage , les moyens suppresseurs et de 
classement etant communs, etc. 

On peut egalement mettre en cascade plusieurs dispositifs d'analyse 
selon 1'invention, dans les cas complexes ou les decisions doivent etre 
prises avec des signaux Pu ou Pu fortement correles entre eux : il sera 
alors utile d f utiliser un dispositif d'analyse secondaire utilisant comme 
signaux d'entree les signaux de sortie Pu du dispositif d'analyse 
principal ; le reglage du dispositif danalyse secondaire seffectue de la 
meme maniere que celui du dispositif d'analyse principal. 

En ce qui concerne les techniques de filtrage et de classement utilisees, 
on peut utiliser, comme on la decrit plus haut, des filtres numeriques Fik 
et FAku, a caracteristiques fixes ou variables. 

On peut egalement utiliser, en lieu et place de ces filtres numeriques, 
des correlateurs ou des convoluteurs, selon des techniques connues. 

Par ailleurs; les filtres successifs 12, 14, 13, 15, 19, 18, etc. que Ton a 
decrit sont pour Tessentiel des elements additifs et lineaires, de sorte que 
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Ton pourra adopter toutes dispositions iquivalentes, par exemple en 
regroupant des filtres places en serie et en les rempla?ant par un filtre 
unique. 

5 Lorsque les informations traitees s'e talent sur des jours, voire des mois 

ou plus, il est avantageux d'utiliser des filtres a caractiristiques 
exponentielles de fafon k limiter le nombre d'informations a garder en 
memoire. 

Certains filtres peuvent etre riduits k un simple coefficient pondirateur 
10 (ou k un nombre limits de coefficients). 

En outre, il est souvent avantageux de multiplier le nombre de filtres en 
(htilioS &] b^^^™* <*e simplifier leur mode de realisation. Dans ce but, on utilisera des 
0 signaux d'entree binaires. 

Par exemple, une seule information telle que le montant m pourra etre 
15 remplacee par Tinformatdon "appartenance a un classe de montants" : 

ai = 1 si 0 <m < 600 francs (ai = 0 sinon) 
32 = 1 si 600 < m < 1200 francs (a2 = 0 sinon) 
a3 = 1 si 1200 <m (a3 = 0 sinon) 

20 

Dans les systemes de filtres 7, une seule ligne de filtres f(m) est 
remplacee par trois lignes de filtres (ai, a2, a3) mais, les signaux ai, a2, a3 
etant binaires, les coefficients de correlation et produits de convolution 
sont beaucoup plus simples. 
25 La realisation des filtres et la numerisation des signaux intermediates 

en seront grandement facilities. 

Application a la propagation d'alarme 

30 De fa? on generate, l'ensemble d'analyse selon Tinvention peut etre : 

— soit complet et autonome, 

— soit integre dans un systeme expert dont il constitue un Element 
principal de decision, 

35 — soit distribui sur plusieurs niveaux. 

Concernant ce dernier point, il y a lieu de remarquer que le systeme de 
l'invention est particulierement avantageux dans un systeme distribue et 
hierarchis£ de machines tel qu'un reseau informatique ou un reseau 
40 d'equipements teis que distributeurs de billets, terminaux point de yente, 
dispositifs utilisant des cartes a circuit integre, etc. 

Par exemple, dans le cas des terminaux point de vente, les equipements 
installes chez les commerfants dependent d'un centre local 
d'autorisation, lui-meme reli6 a un centre national, qui & son tour est 
45 - . relie a un centre international. 

A chaque niveau hierarchique sont prevues des limites d'autorisation 
predefinies, avec une delegation au niveau superieur en cas de 
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depassement de cette limite. Par exemple, au niveau du terminal point de 
vente, l'autorisation peut etre d&ivree sans en referer au centre local si le 
montant de la transaction ne depasse pas un plafond donne\ et pour une 
5 transaction unique par jour chez un meme commercant ; si ces 
conditions ne sont pas remplies, le commercant devra en reT6rer au 
centre local, qui pourra accorder l'autorisation lui-meme, ou bien devra 
en re?6rer au centre national, en fonction d'autres regies de decision, etc. 
On congoit que les regies aujourd'hui utilisees sont assez frustres, en 

10 particulier au niveau hierarchique le plus bas. 

La pr^sente invention permet pr£cis6ment d'ameliorer cet Stat de fait en 
prenant une decision beaucoup plus "subtile" en preVoyant une analyse 
in situ de la transaction, par exemple par un dispositif ou logiciel simple 
suppl&mentaire int^gre" au terminal point de vente. 

15 Ceci permet d'une part de diminuer le nombre de recours au centre 

local, toujours lourds a gerer (e^ablissement d'une communication 
telephonique, teUtransmission d'un certain nombre d'informations, 
attente, etc.), tout en diminuant le risque d'utilisations frauduleuses. 
En outre, et de facon particulierement avantageuse, le systeme de la 

20 presente invention permet, lorsqu'une transaction suspecte est averee (et 
a fortiori s'il s'agit effectivement d'une tentative frauduleuse), de 
propager l'alarme a l'interieur du systeme distribue\ selon une fonction 
du temps (dependant de l'eloignement des Squipements voisins) et de 
. facon progressive (1'alarme 6tant d'abord propagge aux Squipements les 

25 plus proches) et evolutive (la detection, sur plusieurs Squipements, de 
transactions suspectes rapprochees dans le temps et dans l'espace permet 
d'augmenter le niveau de 1'alarme). 

" ^ -En d'autres termes, si le systeme d'analyse de l'invention incorpore' a 
un equipement donne du systeme distribue* detecte une transaction 

30 suspecte a un instant to, la probability correspondante de fraude selon un 
scenario Au determine" va passer, pour cet equipement, a un niveau donne 
(par exemple, 70 %) a cet instant to, comme illustre en A sur la figure 6. 

On va utiliser ce systeme pour mettre en alerte les Squipements 
geographiquement voisins en transmettant a ceux-ci un signal d'alerte 

35 qui constituera l'un des signaux d'entr^e de leur dispositif d'analyse 
propre — , cette transmission pouvant etre effectuge soit via le niveau 
hierarchique superieur (transmission de l'information au centre local qui 
la repercute ensuite progressivement vers les 6quipements voisins, en 
commencant par les plus proches, cette solution 6tant gen6ralement 

40 preferable dans le cas d'un rgseau d'equipements tres dense autour de 
l'equipement ou a dte d6tectee la transaction suspecte), soit directement de 
point a point, ce qui gvite de surcharger le systeme informatique du centre 
local. 

La probabilite de fraude pour un equipement ("terminal 1") situe par 
45 exemple a une distance correspondant a un temps de parcours minimal 
de 10 minutes "par rapport a l'equipement ("terminal 2") ou a ete detected 
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la transaction suspecte est indiquee figure 7. 

Avec une constante de temps x = 10 minutes par rapport au signal A, 
c'est a dire k partir de 1'instant to+10, la probability (courbe B) va 
augmenter progressivement jusqu'a un maximum, puis diminuer 
5 lentement, le risque de fraude s'estompant peu a peu avec le temps. 

Les filtres de ce terminal seront par exemple choisis de sorte que la 
probabilite maximale soit inferieure k la probability d^termin^e pour le 
terminal 1, par exemple moitie moindre, ce qui donne une probability 
maximale de 35 %. 

IQ Si, en revanche, une seconde transaction suspecte A' (figure 6) est 

detectye (au terminal 1 ou k un autre equipement voisin) k un instant t'o 
peu de temps aprfcs la premiere transaction suspecte A, on obtiendra au 
terminal 2 une seconde ryponse B' correspondante, identique k la reponse 
B, mais decalee dans le temps. La composition des deux ryponses B et B* 
25 donne la reponse B+B* qui, comme on peut le constater, passe par un 
maximum correspondant a une probability de fraude tres superieure a 
celle correspondant a une seule transaction suspecte detectye (reponse B 
ou reponse B'X 

Une telle application de la presente invention a la propagation dalarme 
2o permet d'accroitre considerablement la prevention des fraudes et permet 
en outre un suivi geographique en temps reel des transactions suspectes, 
ce qui rend le systeme particulierement dissuasif. 

Ce systeme de propagation dalarme est en outre relativement aise et 
peu couteux a mettre en oeuvre, dans la mesure ou il ne requiert aucxme 
25 infrastructure supplemental par rapport k ce qui existe actuellement. 

Exemple de mise en oeuvre de V invention appliquee a un systeme de 
deliv ranee d'autorisations pour cartes accreditees 

30 DanS cette application, les signaux significatifs Si pourront etre les 

suivants : 

— nature du service demande (distribution d'argent, paiement, 
transfert de fonds, etc.), 

35 — moyen utilise a cet effet (distributeur de billets, automate en libre- 

service, appareil fonctionnant en presence ou non d*un 
commerfant, etc.), 

— lieu d'origine de la demande dautorisation (magasin, automate 
bancaire sur la voie publique, terminal a domicile, etc.), 

40 — montant demande (ou, de preference, son ordre de grandeur, defini 

par le logarithme du montant, ce qui permet de reduire le nombre 
de bits ^informations sans compromis sur le rysultat final), 

— moyen d'autentification du support et des informations (par le 
commerfant, par un moyen automatise, par une lecture de piste 

45 magnetique, etc.), 

— moyen d'identification du porteur (signature, code confidentiel, 
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caract6ristique biom^trique, etc.), 

— delai de rSponse demande pour l'obtention de l'autorisation, 

— lieu g6ographique du demandeur ou toute information equivalente, 

— nature du commerce, 

5 — date (jour de la semaine, quantifeme, etc.) et heure de la demande , 

— lieu habituel d'achats et lieu du dernier achat, ce qui permet de 
mesurer la "distance" entre ces donn^es et le lieu d'ou provient la 
demande d'autorisation, 

— transactions deja efFectuees dans le pass6 pour un porteur donne. 

10 

Ces grandeurs pr£cedentes ne sont pas aleatoires ni independantes. 
Si Ton utilise pour le filtrage un systfeme mettant en oeuvre la 
relation (1) indiqu^e plus haut, le resultat sera, par exemple pour un filtre 
Fik correspondant k la frequence des demandes, un filtre ayant une 
*5 caracteristique de filtre integrateur avec une largeur de bande de 1'ordre 
de huit jours. 

L'ensemble des filtres Fik etant ainsi defini et ceux-ci regies selon leurs 
caracteristiques optimales, on peut proceder au reglage des filtres adaptes 
FAku. 

On considerera a cet efFet des scenarios correspondant k divers risques ; 
par exemple : 
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— dans le cas de Tutilisation abusive d'une carte volee : le nombre 
d'utilisations et leurs montants, ainsi que la periode pendant 

25 laquelle Tutilisation a lieu, etc. sont des donnees connues qui 

peuvent etre utilisees pour regler une colonne de filtres adaptes 
FAku. 

Le reglage du seuil du circuit 16 correspondant a cette colonne sera 
effectue par exemple de telle fa?on que le nombre de depassements 
30 (i e seuil en Tabsence d'utilisation abusive reste a un niveau 

acceptable (par exemple, inferieur k 1 ?oo des demandes 
d'autorisation) ; 

— une deuxieme ligne de filtres adaptes FAku pourra etre obtenue en 
considerant les tentatives de recherche du code confidentiel associ6 

35 a une carte donnee, ou bien Tapparition de supports physiquement 

differents portant des informations identiques (cas des cartes 
frauduleusement dupliquees), etc. 
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De fa?on generale, pour simplifier et accelerer les calculs : 



— on ne conservera pour chaque information qu'un minimum de bits 
d'information (quelques bits, eventuellement un sexil bit), 

— on utilisera la technique d'addition des reponses percussionnelles 
^° * des filtres, c'est a dire qu'on mettra a jour la reponse des filtres sans 
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recalculer completement cette reponse a chaque fois, mais 
simplement en cumulant les reponses percussionnelles 
correspondant a chaque transaction informatique nouvelle, 
on ne conservera en memoire que les caracteristiques permettant de 
mettre a jour la reponse des filtres (date de la derniere mise a jour, 
parametre decrivant la reponse en gain et en phase), et a chaque 
nouvelle demande d'autorisation, ces parametres seront mis a jour. 
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Enfin, les rgglages des filtres pourront etre differents selon les 
periodes : heures ouvrables ou non, jour de la semaine, week-end 
prolong^, periodes de vacances ou de fin d'annees, etc). 
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REVENDICATIONS 
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1. Un dispositif (4) d'analyse d'une transaction informatique ou partie 
de transaction, dans lequel le dispositif re?oit en entree des signaux 
comprenant les informations deiivrees par un utilisateur demandant 
l'execution de la transaction ainsi que des informations de contexte 
representatives des conditions de d6roulement de la transaction, et delivre 
en sortie des signaux de commande k des moyens de decision <3) 
determinant s ll y a lieu ou non de deiivrer une autorisation k l'utilisateur 
lui permettant de poursuivre la transaction ou de modifier le ddroulement 
de cette transaction ou de transactions ulterieures, 

caracterise par : 

— des moyens extracteurs (5), pour ne conserver, parmi les 
informations re?ues en entree, que celles utiles a l'analyse de la 
transaction, 

— des moyens suppresseurs (6), pour £liminer les signaux 
correspondant k une transaction consideree comme conforme a un 
ensemble de regies predetermines, de maniere k ne pas poursuivre 
l'analyse pour les transactions de ce type, 

— des moyens de filtrage (7), pour eliminer, en fonction des 
caracteristiques statistiques des signaux delivr£s par les moyens 
suppresseurs, les variations non significatives de la transaction & 
analyser, 

— des moyens de classement (8), pour repartir les signaux de la 
transaction a analyser en sortie des moyens de filtrage (7) dans une 
ou plusieurs classes d'au moins un ensemble de classes, chaque 
ensemble correspondant a un critere predetermine de classification, 
ces moyens de classement delivrant en sortie les signaux de 
commande des moyens de decision. 

2. Le dispositif de la revendicatipn 1, comprenant des moyens 
d'archivage (10) assurant la memorisation des signaux correspondant k 
des transactions anterieures. 

3. Le dispositif de la revendication 2, dans lequel les moyens de filtrage 
(7) sont des moyens a effet variable, commandes par des moyens de calcul 
et de reglage (11) fonctionnant en reponse au contenu des moyens 
d'archivage (10). 

4. Le dispositif de Tune des revendications 2 ou 3, dans lequel les 
moyens de classement (8) sont des moyens a effet variable, commandes 
par des moyens de calcul et .de reglage (20) fonctionnant en reponse au 
contenu des moyens d'archivage (10). 
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5. Le dispositif de Tune des revendications pr^cedentes, dans lequel les 
informations transmises aux moyens extracteurs comprennent des 
signaux representatifs de l'ecart entre les conditions effectives de 
deroulement de la transaction et les conditions considerees comme 
normales du deroulement de cette transaction. 

6. Le dispositif de la revendication 5, dans lequel le signal representatif 
dudit ecart est un signal de distance quantifiant l'£cart plus ou moins 
grand entre les conditions effectives de deroulement de la transaction et 
les conditions consid6r£es comme normales du deroulement de cette 
transaction. 

7. Le dispositif de Tune des revendications 1 & 6, comprenant une 
pluralite de moyens de classement (8) disposes en parallele, recevant en 
entree les memes signaux et delivrant chacun en sortie des signaux 
specifiques a des moyens combinatoires (9) formant interface avec les 
moyens de decision. 

8. Le dispositif de Tune des revendications 1 a 7, installs au moins 
partiellement dans un equipement d'un systeme distribue, caracterise en 
ce qu'un equipement du systeme refoit des signaux en provenance des 
dispositifs d f analyse d'eqxiipements voisins, ces signaux, qui comportent 
au moins un signal d^larme, constituant des signaux d^ntree du 
dispositif d f analyse de cet eqmpement. 

9. Le dispositif de la revendication 8, dans lequel le signal transmis a 
chaque equipement voisin est transmis avec application d'une fonction du 
temps comportant un retard, cette fonction dependant de Teloignement de 
cet equipement par rapport a Tequipement ayant emis le signal 
correspondant. 
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